EDR: V čem je lepší než antivirus a jak si vybrat ten nejvhodnější?

Přemýšlíte o investicích do řešení pro detekci hrozeb v koncových bodech a následnou reakci (EDR, Endpoint Detection and Response)? Odpovědi na následující otázky vám ještě před zakoupením pomohou najít nástroj, který bude vašim potřebám nejlépe vyhovovat.


Produkty EDR pro detekci v koncových bodech a reakci podávají personálu IT informace o koncových stanicích ohledně zjištění škodlivé aktivity, analyzují data a nabízejí odpovídající reakci.

EDR je součástí rozvíjejícího se trhu zabezpečení, kde působí známí dodavatelé, jako jsou Carbon Black, Cisco, CrowdStrike, Eset, FireEye či Kaspersky.

Každý, kdo se dnes zajímá o řešení EDR, narazí na pojem „lov hrozeb“, což je proces hledání příznaků nějakého kybernetického nebezpečí či probíhajícího útoku ve velkém množství dat, namísto spoléhání se na signatury známých hrozeb.

Je to v podstatě kombinace využití technologií threat intelligence a big dat. Lov hrozeb je kritickou součástí komplexního řešení EDR a klíčovým rozdílem vůči platformám ochrany koncových bodů (EPP, Endpoint Protection Platforms), se kterými se tato řešení často mylně zaměňují.

Řešení EDR však také procházejí obdobím změn. V loňském roce Gartner zdůraznil, že „EDR není náhradou za jiné bezpečnostní nástroje pro koncové body. Je často doplněním detekce a viditelnosti, které poskytují další nástroje pro zabezpečení koncových bodů.“

V roce 2017 však zpráva společnosti Gartner Magic Quadrant for Endpoint Protection Platforms oznámila, že „do roku 2019 se funkce EPP a EDR sloučí do jedné nabídky, takže zmizí nutnost kupovat produkty nejlepší svého druhu pro většinu případů s výjimkou jen velmi specializovaných prostředí“.

Požádali jsme několik bezpečnostních expertů, aby se s námi podělili o své poznatky o tom, jaké otázky je vhodné klást sobě a potenciálním dodavatelům EDR před nákupem.

 

1. Jaké firemní problémy se snažíte vyřešit?

Daniel Clayton, ředitel kybernetické bezpečnosti ve společnosti Rackspace, zdůrazňuje, že prvním krokem při hodnocení řešení EDR je identifikovat problémy, které chcete vyřešit. (Upozorňujeme, že ačkoli je Rackspace zákazníkem využívajícím EDR, zároveň také spolupracuje se svým dodavatelem EDR na vlastním produktu Rackspace Managed Security.)

Ředitelé IT větších organizací podle Claytona mívají za úkol vyzbrojit centra provozu zabezpečení (SOC, Security Operations Center) vhodnými nástroji pro řešení problémů a musejí u toho pamatovat, že zabezpečení již není jen otázkou nástrojů, ale také záležitostí zahrnující lidský faktor.

Dříve či později někdo nesprávně nakonfiguruje systém, což umožní infiltraci běžným útokem či útokem APT. Dokonce ani nejlepší nástroj pro zajištění viditelnosti sítě nemůže zcela zabránit útoku motivovaného a dobře vyškoleného protivníka.

Paul Calatayud, technologický ředitel síťové bezpečnostní společnosti FireMon, souhlasí s podstatou tohoto problému, který se ale týká i menších organizací.

„Řešení EDR pomáhají odhalovat a identifikovat kybernetické hrozby, ale nejsou všelékem. Pro reakci a následné kroky je velmi důležité mít vyškolený personál a odpovídající procesy,“ tvrdí Calatayud.

Je tedy podle něj nutné definovat očekávání, protože jakmile se tato technologie zavede, budete možná i přesto muset investovat do zaměstnání dalších lidí nebo do školení a do vytvoření komplexního plánu reakce na incidenty, aby skutečně mohlo dojít k návratu investic do EDR.

 

2. Co je kontrolní perioda dat v řešení EDR?

Clayton uvádí, že řešení EDR musejí nabízet více než jen data v daném okamžiku, pokud má být efektivní.

Doporučuje proto hledat řešení, které bude snímat nepřetržitý forenzní obraz a dokáže poskytnout alespoň 30 dní živých dat pro analýzu. Někteří dodavatelé mohou nabízet 90 dnů až jeden rok historických dat z archivů pro účely vyšetřování.

 

3. Umožňuje řešení EDR integraci s platformami threat intelligence a dalšími nástroji?

Protože jsou nástroje EDR navržené tak, aby pomáhaly při lovu hrozeb, je důležité, aby bylo možné tyto nástroje integrovat s kanály nebo platformami threat intelligence, pokud není taková funkce vestavěná, aby mohly rychle analyzovat příznaky kompromitace (IOC Indicators Of Compromise), jak vysvětluje Calatayud.

Jarret Raim, ředitel spravovaného zabezpečení ve společnosti Rackspace, dodává, že bezpečnostní platformy obvykle nabízejí mnoho nástrojů, takže je důležitý i způsob, jak získáte data z portálu správy.

Nástroje EDR musejí umožnit integraci s existujícími nástroji včetně antivirového řešení, takže je před nákupem nutné zjistit, zda budou příslušné nástroje spolupracovat.

 

4. Jak velké nároky na personál bude řešení EDR klást?

Implementace a provoz řešení EDR mohou klást vysoké nároky. Možná budete muset podstoupit školení a spolupracovat s inženýrem dodavatele, abyste ho dokázali uvést do provozu.

Spuštění softwaru v režimu viditelnosti a stejně tak i dešifrování výsledků a zjištění, jak v případě potřeby řešit problémy, kladou určité nároky na personál, který se musí s řešením obeznámit.

„O personál pro zabezpečení je vždy vysoký zájem,“ upozorňuje Calatayud. Zdůrazňuje, že při vyhodnocování jakéhokoli bezpečnostního řešení je důležité zjistit, zda bude řešení odčerpávat vaše personální zdroje vysokými nároky na podporu svého fungování, nebo naopak vašemu týmu odlehčí.

Raim tvrdí, že potenciální zákazníci zvažují podporu pečlivě. „Co potřebuji, aby byl tento nástroj užitečný? Analytiky? A kdo bude reagovat na varování? EDR vyžaduje lidi, procesy a nástroje, ale nástroje jsou pouze částí obrazu.“

 

5. Bude řešení komplikovat fungování koncových bodů?

Clayton i Raim varují před řešeními, která komplikují fungování koncových bodů při nasazení agenta a vyšetřování hrozeb. Clayton proto doporučuje řešení, které používá agenta na úrovni jádra.

 

6. Jaké operační systémy podporuje?

Calatayud poukazuje na to, že „v podnikových prostředích je běžné používat kombinaci počítačů na platformách Microsoft a Macintosh. Proto je nezbytné zajistit řádné pokrytí všech koncových bodů a zahrnout i operační systémy na serverech.“

Raim souhlasí, že podpora více operačních systémů je klíčová. „EDR vyžaduje zajištění viditelnosti v celém prostředí. Nějaké řešení by sice mohlo podporovat Windows, ale už ne Linux. Ujistěte se, že vámi požadované řešení podporuje všechny vaše platformy a plány instalace oprav.“

 

7. Existují nějaké problémy se škálovatelností, o kterých bychom měli vědět?

Raim naléhavě vyzývá zájemce o řešení EDR, aby si zjišťovali možnosti správy ve škálovaném prostředí. Jak například vypadá portál správy pro tři tisíce koncových bodů ve srovnání s 30 tisíci?

Požádejte potenciální dodavatele, aby uvedli své největší nasazení a počet koncových bodů, resp. agentů.

 

8. Nabízí řešení reportování pracovních postupů a interakce s dalšími tiketovými systémy?

Calatayud zdůrazňuje, že použitelnost je důležitým prvkem u jakéhokoli bezpečnostního řešení. „Personálu IT je vždy málo. Řešení, které zahrnuje přehledové informační panely nebo integraci s jinými tiketovými systémy, usnadňuje život. Řešení, které není snadné používat, představuje riziko, protože může dojít k frustraci uživatelů, kteří by ho kvůli tomu mohli přestat používat.“

 

9. Nabízí řešení vícenásobné využívání, resp. pronájem?

Cloudová řešení často využívají vícenásobný pronájem (multitenancy) a podporují separaci zákazníků. Raim tvrdí, že zákazníci EDR často říkají, že vícenásobné využití nechtějí, ale možná by to chtěli, kdyby si uvědomili, co by jim to umožnilo dělat.

Vícenásobné využití umožňuje zákazníkům separovat svou vlastní infrastrukturu například podle měst, obchodních jednotek atd. pro účely lepší organizace, kontroly a flexibility. Rozhodnutí však musí nastat hned na začátku, protože dodatečná implementace funkcí multitenancy je dost obtížná.

 

10. Můžeme si jako firma dovolit řešení EDR?

S ohledem na to, že náklady na podnikové centrum provozu zabezpečení (SOC) snadno dosahují milionů až desítek milionů korun, Raim upozorňuje, že někteří zákazníci se zaměřují na řešení typu „najdi a zapomeň“, protože jsou mnohem dostupnější.

Spravovaná služba poskytuje zákazníkům funkce EDR včetně vstupu analytiků a snižuje nároky na odborné znalosti samotných zákazníků. Tyto typy služeb lze pořídit v rámci smlouvy na 12, 24 nebo 36 měsíců, nebo mohou výdaje kolísat na základě potřeb architektury a infrastruktury organizace.

 

Tento příspěvek vyšel v Security Worldu 4/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Gunnar Assmy - Fotolia.com










Komentáře